欢迎来到天天文库
浏览记录
ID:9479009
大小:52.50 KB
页数:4页
时间:2018-05-01
《信息系统环境下审计风险的特征及评估》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、信息系统环境下审计风险的特征及评估摘要:现代企业的业务运作更加依赖于计算机X络信息系统,但由于信息系统本身特点所具有的脆弱性,将使审计遇到风险。审计风险因客户的会计系统和内部控制使用计算机而呈现出新的特征。 关键词:信息系统;审计风险;风险特征;风险评估 国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)为提高审计质量,于2003年10月发布了新准则,对审计风险模型作出重大改动。其中ISA200准则把审计风险模型改为:审计风险=重大错报风险×检查风险。审计风险模型的变化从某种意义上减少了审计的责任,缩小了审计风险的范畴,本文对审计风险的理解并不局限于社会审计
2、,也包括内部审计和国家审计,所以在这里仍采用“审计风险AR=固有风险IR×控制风险CR×检查风险DR”风险模型进行分析。 一、信息系统环境下审计风险的特征 (一)信息系统环境下固有风险的特征 1存在电子数据被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在计算机信息系统环境下,由于存储介质的改变,信息高度集中于计算机信息系统,信息系统应用程序被恶意篡改,或非法入侵信息系统造成经济损失的可能性致使审计的固有风险增大。一旦用户非法透过计算机系统的“防火墙”,数据被不法分子拷贝,甚至可能被进行非法篡改而不留下任何痕迹。计算机病毒、电源故障、操作失误、程序
3、处理错误和X络传输故障也极易破坏和修改电子数据,会造成实际数据与电子账面数据不相符,增加固有审计风险的可能性。 2存在审计线索被减少或消除的可能性。手工环境中,会计处理的每一个步骤都有文字记录和经手人签名,审计线索清晰。但在信息系统环境中,从原始数据录入到报表的自动生成,传统的审计线索不复存在,利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作,对审计人员查找审计线索带来了较大困难。 3存在原始数据被录入错漏的可能性。计算机信息系统环境下,大量的记账凭证仍靠人工录入,机制证账表表面上的相互平衡,可能掩盖人工录入时发生的错漏。系统的二次开发工作,有可能会削弱之前在计
4、算机信息系统中已经设置好的控制,从而可能产生新的审计风险因素。 (二)信息系统环境下控制风险的特征 1存在约束机制失效的可能性。手工系统下通过建立岗位责任中心达到内部控制的目的,在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员职责分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于在计算机信息系统中许多不相容职责相对集中,可能因为不恰当的授权而加大舞弊的风险,权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。 2存在会计数据异常的可能性。手工系统下,会计数据异常的可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效
5、的内控制度消除,必须以先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较慎密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不完善,系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索,如:修改功能将导致无会计轨迹。计算机信息系统主要以磁盘、磁带、光盘等磁性存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”,才能以人可以理解的形式表现出来,但不同的软件对同一信息可能被“翻译”成不同的形式。 3存在
6、实时控制失控的可能性。会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的经济业务,多数软件是通过人工填制记账凭证,从各系统入口录入到电脑,部分软件虽通过系统实时地录入,但可能与凭证数据不同步;对于现金和银行存款收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。 (三)信息系统环境下检查风险的特征 1存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅
7、降低了审计效率,而且还将带来更多的检查风险。 2存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计一套正常有效的业务数据和一套例外(如不完整的、无效的、不合理的、不合逻辑的等)的业务数据,以检查测试应用软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的
此文档下载收益归作者所有